Apple敦促iPhone用户尽快更新至零风险版本这些漏洞允许攻击者执行任意代码并最终接管设备。这些补丁适用于运行iOS15.6.1和macOSMonterey12.5.1的受影响设备。根据Apple周三发布的安全更新,这些补丁解决了两个漏洞,这些漏洞基本上影响所有可以运行iOS15或桌面操作系统Monterey版本的Apple设备。其中一个漏洞是内核漏洞(CVE-2022-32894),它存在于iOS和macOS中。根据Apple的说法,这是一个越界写入漏洞,可以通过改进边界检查方案来解决。据Apple称,该漏洞允许应用程序以内核权限执行任意代码。Apple使用其一贯的含糊声明来宣布该漏洞可能已被黑客积极利用。第二个漏洞被确定为WebKit中的一个漏洞(跟踪号为CVE-2022-32893),这是Apple通过改进边界检查方案解决的越界写入漏洞。据Apple称,该漏洞允许浏览器处理恶意制作的Web内容,这可能导致代码执行漏洞,并且据报道也被积极利用。WebKit是支持Safari和在iOS上运行的所有其他第三方浏览器的浏览器引擎。与Pegasus的情况一样,这两个漏洞是由一位匿名研究人员发现的,除了Apple披露的信息外,几乎没有其他信息。一位专家表示担心Apple的最新漏洞可能会让攻击者获得对设备的完全访问权限,并且他们可能会产生像Pegasus漏洞这样的严重后果。民族国家APT利用iPhone中的漏洞利用以色列NSO集团的间谍软件攻击目标。SocialProofSecurity的CEO在推特上表示,对于大多数人来说,最好在今晚更新软件。托巴克警告说,如果你有特殊身份(记者、活动家、或被外国势力盯上等),建议立即更新。0-day漏洞屡见不鲜除了这些公告,谷歌本周还发布了其他公告,称它正在为Chrome浏览器修补今年的第五个0-day漏洞,这是一个受到攻击的任意网站。代码执行漏洞。挪威应用程序安全公司Promon的高级技术总监指出,顶级技术供应商的漏洞一直是威胁行为者的目标这一事实表明,尽管顶级技术公司付出了巨大努力来解决其软件中长期存在的安全问题。仍然是一场艰苦的战斗。他说,鉴于iPhone的无处不在以及用户在日常生活中对移动设备的完全依赖,iOS漏洞备受关注。然而,保护这些设备的责任不仅在于供应商,还在于用户越来越意识到存在的威胁。他在给媒体的一封电子邮件中说,虽然我们都严重依赖我们的移动设备,但它们并非无懈可击,作为用户,我们需要时刻保持警惕,就像我们在桌面操作系统上所做的那样。与此同时,iPhone和其他移动设备应用程序的开发人员还应该在他们的技术中构建额外的安全控制层,这样他们就可以减少对操作系统安全性的依赖,而操作系统的安全性往往会出现漏洞。“我们的经验表明,目前这种情况发生的还不够多,但它可能会伤害银行和其他客户,”他说。本文翻译自:https://threatpost.com/iphone-users-urged-to-update-to-patch-2-zero-days-under-attack/180448/
